Cloud Act vs Cloud and AI Development Act : ce que l’Europe oppose au droit américain

Sommaire
- Le Cloud Act américain : ce qu’il permet réellement
- 2018 : l’extraterritorialité assumée
- FISA 702 : la surveillance en complément
- Concrètement, pour une organisation européenne
- Le mythe du datacenter européen
- La localisation ne protège pas de la juridiction
- Pourquoi RGPD et clauses contractuelles ne suffisent pas
- Le Cloud and AI Development Act : la réponse structurelle
- Ce que le CADA met en place
- Niveaux 2 et plus : l’indépendance comme critère d’achat
- Cloud Act vs CADA : le tableau comparatif
- Ce que ça implique pour vos communications
- Visio et messagerie : des données exposées trois fois
- Trois questions de juridiction à poser
- Foire aux questions sur le Cloud Act vs le CADA (Cloud and AI Development Act)
- Qu’est-ce que le Cloud Act ?
- Le CADA interdit-il de recourir à un fournisseur soumis au Cloud Act ?
- Le RGPD protège-t-il du Cloud Act ?
- Un hébergement en Europe suffit-il ?
Cloud Act, Cloud and AI Development Act (CADA) : les deux noms commencent par les mêmes mots, et la ressemblance n’est pas qu’un hasard lexical. Le premier organise l’accès des autorités américaines aux données détenues par leurs fournisseurs cloud, où que soient hébergés les serveurs. Le second construit la réponse européenne : un cadre de souveraineté qui vise, à ses niveaux les plus élevés, à exclure structurellement les fournisseurs soumis à un droit extraterritorial tiers.
Si l’accès aux données est organisé d’un côté, de l’autre c’est plutôt l’indépendance qui est recherchée. Pour les organisations utilisatrices d’outils collaboratifs dans le cloud, comprendre cette opposition permet de questionner leurs choix d’hébergement.
Le Cloud Act américain : ce qu’il permet réellement
2018 : l’extraterritorialité assumée
Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est promulgué en mars 2018 aux États-Unis. Le texte modifie le Stored Communications Act pour poser un principe clair : un fournisseur cloud américain reste soumis aux mandats judiciaires de son pays pour les données qu’il détient, quelle que soit la localisation de ses serveurs.
Contrairement à une lecture parfois répandue, il ne s’agit pas d’un accès libre. Les autorités américaines doivent obtenir un mandat ou une citation à comparaître dans le cadre d’une procédure judiciaire. Mais l’obligation de remise, elle, ne connaît pas de frontière : elle s’applique dès lors que le fournisseur relève du droit américain, même si ses centres de données sont installés en France ou en Allemagne.
FISA 702 : la surveillance en complément
À ce mécanisme judiciaire s’ajoute un second texte, plus ancien et de portée différente : la section 702 du Foreign Intelligence Surveillance Act, qui autorise la collecte de renseignement visant des personnes non américaines situées hors des États-Unis, sans mandat individualisé. Les deux dispositifs se cumulent sans se confondre : le Cloud Act encadre une procédure judiciaire, la FISA organise une surveillance de renseignement.
À noter que cette section 702 a techniquement expiré le 12 juin 2026, le Congrès n’étant pas parvenu à voter sa reconduction. Les autorisations déjà validées par la Cour FISA en mars 2026 restent en vigueur jusqu’en mars 2027, si bien que la collecte se poursuit dans les faits malgré l’expiration du texte. L’issue politique du dossier reste donc ouverte.
Concrètement, pour une organisation européenne
Une organisation cliente d’un fournisseur cloud américain reste exposée à ces deux textes par sa maison mère, quels que soient la localisation contractuelle du service ou les engagements de protection affichés. Une filiale européenne, un contrat de droit français, un hébergement dans l’Union : rien de tout cela ne change la nationalité de l’entité qui héberge la donnée.
Le réflexe le plus courant, « nos serveurs sont en Europe », ne répond donc pas à la question posée par ces deux textes.
Le mythe du datacenter européen
La localisation ne protège pas de la juridiction
« EU-hosted » n’est pas synonyme d’« EU-sovereign ». C’est l’entité qui contrôle le fournisseur, pas la géographie de ses serveurs, qui détermine l’exposition réelle d’une organisation. Une filiale européenne d’un groupe américain reste rattachée, par sa structure capitalistique, au droit dont dépend sa maison mère.
Pourquoi RGPD et clauses contractuelles ne suffisent pas
Le RGPD encadre les transferts de données hors de l’Union européenne mais n’a pas vocation à neutraliser une obligation légale qui s’impose directement au fournisseur dans son pays d’origine. La CNIL a d’ailleurs alerté sur ce point dans son avis sur le projet de certification européenne EUCS : elle regrette que le texte n’exige plus de garanties contre l’accès de puissances étrangères aux données hébergées, à la différence de la qualification française SecNumCloud.
Pour une organisation critique, l’articulation complète des réglementations cloud (RGPD, NIS2, DORA et désormais le Cloud and AI Development Act) mérite d’être posée à plat plutôt que traitée texte par texte. C’est précisément cette faille que le texte européen vient combler.
Le Cloud and AI Development Act : la réponse structurelle
Ce que le CADA met en place
Proposé par la Commission européenne le 3 juin 2026, le règlement européen Cloud and AI Development Act construit un cadre gradué de quatre niveaux d’assurance souveraineté : du simple critère de localisation européenne, au premier niveau, jusqu’à l’absence totale d’ingérence d’un pays tiers sur l’ensemble de la chaîne, propriété du fournisseur comprise, au niveau le plus élevé.
Niveaux 2 et plus : l’indépendance comme critère d’achat
À partir du niveau 2, le critère central devient l’indépendance vis-à-vis des régimes juridiques tiers. Un fournisseur soumis au Cloud Act, par sa nationalité ou celle de sa maison mère, ne peut structurellement pas prétendre aux niveaux les plus élevés, quelles que soient ses garanties contractuelles ou ses engagements de localisation. C’est l’inverse exact de la logique du Cloud Act : là où l’un organise l’accès par la nationalité du fournisseur, l’autre l’exclut par ce même critère.
Le détail des quatre niveaux d’assurance souveraineté et leurs implications pour le choix d’outils collaboratifs sont détaillés dans les 4 niveaux d’assurance souveraineté du Cloud and AI Development Act.
Posés côte à côte, les deux textes dessinent une opposition frontale.
Cloud Act vs CADA : le tableau comparatif
Deux textes, une même question : qui peut légalement atteindre les données d’une organisation européenne ?
| Cloud Act | Cloud and AI Development Act | |
| Année | 2018 (en vigueur) | Proposé le 3 juin 2026 (adoption visée après trilogue) |
| Législateur | Congrès américain | Commission européenne (Parlement et Conseil à venir) |
| Objet | Accès aux données par les autorités judiciaires américaines | Cadre d’assurance de la souveraineté cloud pour la commande publique |
| Portée | Extraterritoriale, fondée sur la nationalité du fournisseur | Union européenne, marchés publics (extension possible aux secteurs NIS2 par actes délégués) |
| Qui y est soumis | Tout fournisseur relevant du droit américain (siège, filiale ou maison mère), où que soient ses serveurs | Fournisseurs candidats aux marchés publics européens, gradués par niveau d’assurance |
| Logique | Accès organisé, sous contrôle judiciaire | Indépendance réelle, à partir du niveau 2 |
| Conséquence pour une organisation UE | Expose ses données au droit américain via son fournisseur, même hébergées en Europe | Permet d’exiger, par le niveau choisi, l’absence de cette exposition |
Le Cloud Act organise un accès sous contrôle judiciaire, mais sans frontière géographique. Le CADA organise, à l’inverse, une réelle indépendance vis-à-vis de cet accès, à condition de retenir un fournisseur positionné sur ses niveaux les plus élevés.
Ce que ça implique pour vos communications
Visio et messagerie : des données exposées trois fois
Un outil de visioconférence ou de messagerie manipule trois strates de données sensibles :
- les flux échangés en temps réel,
- leurs enregistrements,
- et les transcriptions générées par l’IA intégrée.
Chacune de ces strates peut relever d’une juridiction différente selon l’éditeur de l’outil, l’hébergeur retenu et le sous-traitant IA sollicité pour la transcription.
Trois questions de juridiction à poser
Avant de retenir un outil collaboratif, une organisation critique a intérêt à documenter trois points :
- la juridiction du fournisseur lui-même ;
- celle de ses sous-traitants IA, notamment pour la transcription ;
- celle de sa maison mère, le cas échéant.
L’indépendance juridique de bout en bout, telle que la posent les niveaux CADA les plus élevés et les référentiels de l’ANSSI, découle directement de ces trois réponses.
Une visioconférence certifiée CSPN, chiffrée de bout en bout, conçue et opérée en France, échappe par construction au périmètre du Cloud Act : ni le fournisseur ni sa maison mère ne relèvent du droit américain. Les communications de votre organisation n’ont pas à dépendre d’une juridiction étrangère.
Tixeo, visioconférence certifiée CSPN et chiffrée de bout en bout, est conçue, opérée et hébergée en Europe ou déployée en version on-premise au sein des organisations les plus sensibles.

Foire aux questions sur le Cloud Act vs le CADA (Cloud and AI Development Act)
Qu’est-ce que le Cloud Act ?
Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est une loi américaine de 2018 qui oblige les fournisseurs cloud relevant du droit américain à transmettre, sur mandat judiciaire, les données qu’ils détiennent, y compris lorsqu’elles sont hébergées hors des États-Unis. Il s’applique par la nationalité du fournisseur, pas par la localisation de ses serveurs.
Le CADA interdit-il de recourir à un fournisseur soumis au Cloud Act ?
Non. Le règlement européen ne prononce aucune interdiction : il pose un critère d’achat gradué. Un fournisseur soumis au Cloud Act peut atteindre les premiers niveaux d’assurance souveraineté, mais pas les niveaux 3 et 4, réservés aux fournisseurs indépendants de tout droit extraterritorial tiers.
Le RGPD protège-t-il du Cloud Act ?
Pas directement. Le RGPD encadre les transferts de données hors de l’Union européenne, mais il ne neutralise pas une obligation légale qui s’impose au fournisseur dans son pays d’origine. Les deux textes répondent à des questions différentes.
Un hébergement en Europe suffit-il ?
Non. La localisation des serveurs ne change pas la nationalité de l’entité qui les exploite. Un centre de données européen opéré par la filiale d’un groupe américain reste, par sa structure capitalistique, exposé au Cloud Act.
Le Cloud Act organise un accès. Le Cloud and AI Development Act organise une indépendance. Entre les deux, chaque organisation choisit, par les outils qu’elle retient, la juridiction sous laquelle vivent réellement ses échanges. Cette juridiction ne se déduit pas de l’adresse d’un datacenter : elle se documente, fournisseur par fournisseur, sous-traitant par sous-traitant.
Découvrez la visioconférence certifiée par l'ANSSI
Rejoignez les organisations qui protègent leurs échanges les plus sensibles.



